摘要:本系列教程翻譯自��,系列共有九篇�,本文譯自第五篇。因此��,本系列教程關(guān)鍵的第五章用來討論可能面臨的安全問題以及它們是如何影響到整體的安全性的����。一些必要的安全措施包括使用非特權(quán)用戶運行容器。本圖中列舉了幾個用于維護和授權(quán)的安全性��。
本系列教程翻譯自 Flux7 Docker Tutorial Series����,系列共有九篇,本文譯自第五篇 Part 5: Docker Security�����。
該系列所有文章將參考其他學(xué)習(xí)資料翻譯���,也會加入自己的學(xué)習(xí)作為部分注解���。如有錯誤,歡迎指正����。
題外話:本文所講的是傳統(tǒng)意義上的 Docker 安全,關(guān)于未來 Docker 的安全可以 參考這篇文章��。
Docker 安全
安全問題必須要被高度重視���,無論是開發(fā)環(huán)境還是生產(chǎn)環(huán)境�����。如今 Docker 已經(jīng)被部署在越來越多的地方���,Docker 作為項目和平臺的安全性也越來越要被重視。
因此��,本系列教程關(guān)鍵的第五章用來討論 Docker 可能面臨的安全問題以及它們是如何影響到 Docker 整體的安全性的�。但并不是說 Docker 本身不安全:Docker 是建立在 LXC 的基礎(chǔ)上的,因此 Docker 繼承了 LXC 絕大部分安全優(yōu)勢��。
前文中提到 docker run 是用來運行容器的,那么 docker run 之后到底發(fā)生了什么�?
docker run 命令初始化
Docker 調(diào)用 lxc-start 命令。
lxc-start 創(chuàng)建一系列的 namespaces 和 CGroups 進行資源限制����。
namespace 是虛擬化的第一層,用于容器以及容器內(nèi)之間互相隔離���。所有的容器都有獨立的網(wǎng)絡(luò)棧�、一個容器也無法訪問到另一個容器的 Socket 端口�����。如果你希望容器之間通過網(wǎng)絡(luò)互訪的話�����,就要開啟 Docker 的端口映射功能����,或者為容器指定公網(wǎng) IP。
CGroup 有如下的特點:
資源計數(shù)和資源控制��。
限制內(nèi)存����、CPU��、IO 和網(wǎng)絡(luò)使用����。
試圖解決 Dos 攻擊問題����。
更適用于多用戶�、多進程的系統(tǒng)。
對于 namespace 和 CGroups 不熟悉的童鞋可以參考這么幾篇文章:
Docker 基礎(chǔ)技術(shù):Linux Namespace(上)
Docker 基礎(chǔ)技術(shù):Linux Namespace(下)
Docker 基礎(chǔ)技術(shù):Linux CGroup
Docker Daemon 的攻擊層面
Docker daemon 使用 root 權(quán)限運行�����,肯定需要有許多地方需要特別注意�����,例如:
如果 Docker 容器有權(quán)限訪問宿主機的話�,那么要特別小心,Docker 進程的控制權(quán)只能給授權(quán)用戶���。舉個極端的例子:容器內(nèi)部的 UID=0 如果對容器外部某個不明程序執(zhí)行了 chmod +s��。
REST API 也支持 UNIX socket����,從而避免了 XSS 攻擊。
REST API 的 HTTP 端口(如果有的話)只能對可信的網(wǎng)絡(luò)����、VPN、IP 開放���。
在服務(wù)器上運行 Docker 時需要與其他服務(wù)隔離�����。
一些必要的安全措施包括:
使用非特權(quán)用戶運行容器����。
Apparmor����,SELinux,grsec 都可以當(dāng)成是一層額外的安全加固���。
可以使用其他容器系統(tǒng)的安全功能��。
Docker.io API
本圖中列舉了幾個用于維護和授權(quán)的安全性 Docker API����。
本專欄將會在以后的文章中慢慢介紹現(xiàn)在的 Docker API。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/7912.html
